La situazione relativa al 23 gennaio quando si esegue un test sul file withlove.exe attualmente hostato dai siti Storm Worm vede un maggior numero di rilevamenti malware positivi, rispetto ai giorni predcedenti,
Rimangono comunque esclusi dal report ad esempio Nod32 e McAfee.
In riferimento alle potenzialita' di un software antivirus di rilevare o meno la minaccia Sunbelt blog pubblica una interessante articolo su un recente test di softwares antivirus eseguito da da Andreas Marx di Av-Test.org.
Ecco una traduzione del post
" .................................
Abbiamo appena finito un nuovo test di confronto AV software. Tutti i prodotti sono stati aggiornati al 7 gennaio 2008 e testati su Windows XP SP2 (in inglese).
In primo luogo, abbiamo verificato il rilevamento che utilizza la "signature-based on-demand detection" usando samples di malware diffuso nel corso degli ultimi sei mesi (questo significa che non abbiamo utilizzato campioni relativi ad un archivio "storico")
Abbiamo incluso le categorie appartenenti a :trojan, backdoors, bot, worm e virus.
Abbiamo classificato il prodotto da "molto buono" (+ +), se lo scanner ha rilevato oltre il 98% dei campioni sino a (-), quando meno del 85% delle Malware è stato rilevato.
In secondo luogo, abbiamo verificato il numero di falsi positivi generato durante la scansione di file puliti. Solo i prodotti senza falsi positivi ricevuto un "molto buono" (+ +) di rating.
In caso di rilevamento proattivo oltre a verificare la " signature- and heuristic-based proactive detection" abbiamo anche controllato la qualità di comportamento di software che usano "included behavior based guard" ad esempio Deepguard di F-Secure e TruPrevent di Panda.
Inoltre, abbiamo verificato quanto tempo le aziende che producono questi softwares di solito aggiornano il prodotto in caso di nuovi malware diffusi sulla base di 55 diversi campioni provenienti da tutto l'anno 2007. La classificazione "Molto buona" (+ +) e stata assegnata a produttori in grado di reagire in meno di due ore.
Un'altra interessante prova è stata l'individuazione di campioni di rootkit attivi.
Mentre è banale per uno scanner rilevare rootkits inattivi utilizzando una firma, può essere veramente delicato rilevare questo perverso malware quando e' attivo e nascosto.
Abbiamo controllato il rilevamento dello scanner rootkit nei confronti di 12 differenti codici rootkit.
I risultati del test in formato PDF. sono scaricabili da qui per il riassunto dei test e tutti i dati del test di rilevazione della firma da qui.
.................................."
Come commento al post si puo dire che i risultati sembrerebbero anche in linea con quello che appare dai recenti report generati quando si usa Virus total e cioe' ad esempio il fatto che Nod32 ultimamente ha mostrato problemi specialmente con la rilevazione di nuove varianti malware quando viene usato il riconoscimento in base alla firma del virus e come risposta a nuove varianti.
Guardando sempre la lista in base al numero di malware riconosciuti dalla firma si vede che anche Kaspersky un tempo ai primi posti adesso sembrerebbe avere qualche problema.
In controtendenza rispetto a quanto si vede su Virus Total invece e' Panda Antivirus che supera anche Nod32 come positivi rilevati in base alla firma anche se al riguardo dell'aggiornamento su nuovi virus o mutazioni degli stessi non e' ai primi posti.
Per concludere, dalla lista dei risultati complessivi si vede che non esiste un software che abbia raggiunto voti massimi su tutti i test eseguiti ma ce ne sono alcuni che comunque hanno un buon comportamento su tutte le tipologie di analisi eseguite.
Rimangono comunque esclusi dal report ad esempio Nod32 e McAfee.
In riferimento alle potenzialita' di un software antivirus di rilevare o meno la minaccia Sunbelt blog pubblica una interessante articolo su un recente test di softwares antivirus eseguito da da Andreas Marx di Av-Test.org.
Ecco una traduzione del post
" .................................
Abbiamo appena finito un nuovo test di confronto AV software. Tutti i prodotti sono stati aggiornati al 7 gennaio 2008 e testati su Windows XP SP2 (in inglese).
In primo luogo, abbiamo verificato il rilevamento che utilizza la "signature-based on-demand detection" usando samples di malware diffuso nel corso degli ultimi sei mesi (questo significa che non abbiamo utilizzato campioni relativi ad un archivio "storico")
Abbiamo incluso le categorie appartenenti a :trojan, backdoors, bot, worm e virus.
Abbiamo classificato il prodotto da "molto buono" (+ +), se lo scanner ha rilevato oltre il 98% dei campioni sino a (-), quando meno del 85% delle Malware è stato rilevato.
In secondo luogo, abbiamo verificato il numero di falsi positivi generato durante la scansione di file puliti. Solo i prodotti senza falsi positivi ricevuto un "molto buono" (+ +) di rating.
In caso di rilevamento proattivo oltre a verificare la " signature- and heuristic-based proactive detection" abbiamo anche controllato la qualità di comportamento di software che usano "included behavior based guard" ad esempio Deepguard di F-Secure e TruPrevent di Panda.
Inoltre, abbiamo verificato quanto tempo le aziende che producono questi softwares di solito aggiornano il prodotto in caso di nuovi malware diffusi sulla base di 55 diversi campioni provenienti da tutto l'anno 2007. La classificazione "Molto buona" (+ +) e stata assegnata a produttori in grado di reagire in meno di due ore.
Un'altra interessante prova è stata l'individuazione di campioni di rootkit attivi.
Mentre è banale per uno scanner rilevare rootkits inattivi utilizzando una firma, può essere veramente delicato rilevare questo perverso malware quando e' attivo e nascosto.
Abbiamo controllato il rilevamento dello scanner rootkit nei confronti di 12 differenti codici rootkit.
I risultati del test in formato PDF. sono scaricabili da qui per il riassunto dei test e tutti i dati del test di rilevazione della firma da qui.
.................................."
Come commento al post si puo dire che i risultati sembrerebbero anche in linea con quello che appare dai recenti report generati quando si usa Virus total e cioe' ad esempio il fatto che Nod32 ultimamente ha mostrato problemi specialmente con la rilevazione di nuove varianti malware quando viene usato il riconoscimento in base alla firma del virus e come risposta a nuove varianti.
Guardando sempre la lista in base al numero di malware riconosciuti dalla firma si vede che anche Kaspersky un tempo ai primi posti adesso sembrerebbe avere qualche problema.
In controtendenza rispetto a quanto si vede su Virus Total invece e' Panda Antivirus che supera anche Nod32 come positivi rilevati in base alla firma anche se al riguardo dell'aggiornamento su nuovi virus o mutazioni degli stessi non e' ai primi posti.
Per concludere, dalla lista dei risultati complessivi si vede che non esiste un software che abbia raggiunto voti massimi su tutti i test eseguiti ma ce ne sono alcuni che comunque hanno un buon comportamento su tutte le tipologie di analisi eseguite.
Aggiornamento pomeridiano del 23 gennaio
Come si vede da una nuova scansione del file withlove.exe nel pomeriggio del 23 gennaio il numero di software che rilevano la minaccia malware si e' nuovamente ridotto
Adesso sia Kaspersky che F-secure, Webwasher ed anche DrWeb sono tornati a non rilevare il malware.
Molti altri nomi importanti di AV sono sempre fuori dalla lista dei positivi come gia' visto mel precedente report. (Symantec, Nod32 , MCAfee, Prevx ecc....)
Edgar
Come si vede da una nuova scansione del file withlove.exe nel pomeriggio del 23 gennaio il numero di software che rilevano la minaccia malware si e' nuovamente ridotto
Adesso sia Kaspersky che F-secure, Webwasher ed anche DrWeb sono tornati a non rilevare il malware.
Molti altri nomi importanti di AV sono sempre fuori dalla lista dei positivi come gia' visto mel precedente report. (Symantec, Nod32 , MCAfee, Prevx ecc....)
Edgar
Nessun commento:
Posta un commento